Človek je, kot veste, leno bitje.
In še toliko bolj, ko gre za izbiro močnega gesla.
Mislim, da se je vsak skrbnik kdaj srečal s težavo uporabe lahkih in standardnih gesel. Ta pojav se pogosto pojavlja med zgornjimi ešaloni vodstva podjetja. Da, da, ravno med tistimi, ki imajo dostop do tajnih ali komercialnih informacij in bi bilo skrajno nezaželeno odpravljati posledice uhajanja gesel/hekanja in nadaljnjih incidentov.
V moji praksi je bil primer, ko so v domeni Active Directory z omogočeno politiko gesel računovodje neodvisno prišli do ideje, da geslo, kot je »Pas$w0rd1234«, popolnoma ustreza zahtevam politike. Posledica je bila široka uporaba tega gesla povsod. Včasih se je razlikoval le v naboru številk.
Resnično sem si želel omogočiti ne samo politiko gesel in določiti nabor znakov, ampak tudi filtrirati po slovarju. Da bi izključili možnost uporabe takih gesel.
Microsoft nas preko povezave vljudno obvešča, da lahko vsak, ki zna pravilno držati prevajalnik, IDE v rokah in zna pravilno izgovoriti C++, lahko prevede knjižnico, ki jo potrebuje, in jo uporablja po lastnem razumevanju. Vaš ponižni služabnik tega ni sposoben, zato sem moral poiskati že pripravljeno rešitev.
Po dolgi uri iskanja sta se pokazali dve možnosti rešitve problema. Govorim seveda o rešitvi OpenSource. Navsezadnje obstajajo plačljive možnosti - od začetka do konca.
Možnost #1.
Približno 2 leti ni bilo nobenih potrditev. Izvorni namestitveni program dela vsake toliko časa, popravljati ga morate ročno. Ustvari svojo ločeno storitev. Ko posodabljate datoteko z geslom, DLL ne prevzame samodejno spremenjene vsebine; storitev morate ustaviti, počakati na časovno omejitev, urediti datoteko in zagnati storitev.
Brez ledu!
Možnost #2.
Projekt je aktiven, živ in mrzlega telesa ni treba niti brcati.
Namestitev filtra vključuje kopiranje dveh datotek in ustvarjanje več vnosov v register. Datoteka z geslom ni v ključavnici, to je, da je na voljo za urejanje in se po zamisli avtorja projekta preprosto prebere enkrat na minuto. Poleg tega lahko z dodatnimi vnosi v register dodatno konfigurirate sam filter in celo nianse politike gesel.
Torej.
Podano: domena Active Directory test.local
Preskusna delovna postaja Windows 8.1 (ni pomembna za namen težave)
filter gesel PassFiltEx
- Prenesite najnovejšo izdajo s povezave
- Kopirati PassFiltEx.dll в C: WindowsSystem32 (Ali %SystemRoot%System32).
Kopirati PassFiltExBlacklist.txt в C: WindowsSystem32 (Ali %SystemRoot%System32). Po potrebi ga dopolnimo z lastnimi predlogami
- Urejanje veje registra: HKLMSYSTEMCurrentControlSetControlLsa => Paketi obvestil
Dodaj PassFiltEx do konca seznama. (Razširitve ni treba navesti.) Celoten seznam paketov, uporabljenih za skeniranje, bo videti takolerassfm scecli PassFiltEx".
- Znova zaženite krmilnik domene.
- Zgornji postopek ponovimo za vse krmilnike domene.
Dodate lahko tudi naslednje vnose v register, kar vam daje večjo prilagodljivost pri uporabi tega filtra:
Oddelek: HKLMSOFTWAREPassFiltEx — se ustvari samodejno.
- HKLMSOFTWAREPassFiltExBlacklistFileName, REG_SZ, privzeto: PassFiltExBlacklist.txt
Ime datoteke črnega seznama — vam omogoča, da določite pot po meri do datoteke s predlogami gesel. Če je ta vnos v registru prazen ali ne obstaja, se uporabi privzeta pot, ki je - %SystemRoot%System32. Določite lahko celo omrežno pot, VENDAR se morate spomniti, da mora imeti datoteka predloge jasna dovoljenja za branje, pisanje, brisanje, spreminjanje.
- HKLMSOFTWAREPassFiltExTokenPercentageOfPassword, REG_DWORD, privzeto: 60
TokenPercentageOfPassword — vam omogoča, da določite odstotek maske v novem geslu. Privzeta vrednost je 60 %. Na primer, če je odstotek pojavljanja 60 in je niz starwars v datoteki predloge, potem geslo Vojna zvezd1! bo zavrnjen, medtem ko geslo starwars1!DarthVader88 bo sprejeto, ker je odstotek niza v geslu manjši od 60 %
- HKLMSOFTWAREPassFiltExRequireCharClasses, REG_DWORD, privzeto: 0
RequireCharClasses — vam omogoča, da razširite zahteve glede gesel v primerjavi s standardnimi zahtevami glede kompleksnosti gesel ActiveDirectory. Vgrajene zahteve glede kompleksnosti zahtevajo 3 od 5 možnih različnih vrst znakov: velike črke, male črke, števke, posebne in Unicode. S tem vnosom v register lahko nastavite zahteve glede zapletenosti gesla. Vrednost, ki jo je mogoče določiti, je niz bitov, od katerih je vsak ustrezna potenca dvojke.
To pomeni, da je 1 = mala črka, 2 = velika črka, 4 = številka, 8 = poseben znak in 16 = znak Unicode.
Torej z vrednostjo 7 bi bile zahteve "velike črke" IN male črke IN številka« in z vrednostjo 31 - »Velike črke IN male črke IN štev IN poseben simbol IN znak Unicode."
Lahko celo kombinirate - 19 = »Velike črke IN male črke IN znak Unicode." -
Številna pravila pri ustvarjanju datoteke predloge:
- Predloge ne razlikujejo med velikimi in malimi črkami. Zato vnos datoteke vojna zvezd и Vojna zvezd bo ugotovljena enaka vrednost.
- Datoteka črnega seznama se ponovno prebere vsakih 60 sekund, tako da jo lahko enostavno urejate; po eni minuti bo filter uporabil nove podatke.
- Trenutno ni podpore Unicode za ujemanje vzorcev. To pomeni, da lahko uporabite znake Unicode v geslih, vendar filter ne bo deloval. To ni kritično, ker nisem videl uporabnikov, ki bi uporabljali gesla Unicode.
- Priporočljivo je, da v datoteki predloge ne dovolite praznih vrstic. V odpravljanju napak lahko vidite napako pri nalaganju podatkov iz datoteke. Filter deluje, a zakaj dodatne izjeme?
Za odpravljanje napak vsebuje arhiv paketne datoteke, ki vam omogočajo, da ustvarite dnevnik in ga nato razčlenite z uporabo, na primer,
Ta filter gesel uporablja sledenje dogodkom za Windows.
Ponudnik ETW za ta filter gesel je 07d83223-7594-4852-babc-784803fdf6c5. Tako lahko na primer konfigurirate sledenje dogodkom po naslednjem vnovičnem zagonu:
logman create trace autosessionPassFiltEx -o %SystemRoot%DebugPassFiltEx.etl -p "{07d83223-7594-4852-babc-784803fdf6c5}" 0xFFFFFFFF -ets
Sledenje se bo začelo po naslednjem ponovnem zagonu sistema. Ustaviti:
logman stop PassFiltEx -ets && logman delete autosessionPassFiltEx -ets
Vsi ti ukazi so navedeni v skriptih StartTracingAtBoot.cmd и StopTracingAtBoot.cmd.
Za enkratno preverjanje delovanja filtra lahko uporabite StartTracing.cmd и StopTracing.cmd.
Za priročno branje izpuha za odpravljanje napak tega filtra v Microsoftov analizator sporočil Priporočljivo je, da uporabite naslednje nastavitve:
Ko prenehate z prijavo in razčlenjevanjem Microsoftov analizator sporočil vse izgleda nekako takole:
Tukaj lahko vidite, da je prišlo do poskusa nastavitve gesla za uporabnika - to nam pove čarobna beseda SET v odpravljanju napak. In geslo je bilo zavrnjeno zaradi prisotnosti v datoteki predloge in več kot 30-odstotnega ujemanja v vnesenem besedilu.
Če poskusite uspešno spremeniti geslo, vidimo naslednje:
Za končnega uporabnika je nekaj neprijetnosti. Ko poskušate spremeniti geslo, ki je vključeno v datoteko s seznamom predlog, se sporočilo na zaslonu ne razlikuje od standardnega sporočila, ko pravilnik o geslu ni posredovan.
Zato bodite pripravljeni na klice in vzklike: "Pravilno sem vnesel geslo, vendar ne deluje."
Povzetek.
Ta knjižnica vam omogoča prepoved uporabe preprostih ali standardnih gesel v domeni Active Directory. Recimo "Ne!" gesla, kot so: “P@ssw0rd”, “Qwerty123”, “ADm1n098”.
Ja, seveda vas bodo uporabniki še bolj vzljubili, ker tako skrbite za njihovo varnost in si morate izmisliti osupljiva gesla. In morda se bo povečalo število klicev in prošenj za pomoč pri vašem geslu. Toda varnost ima svojo ceno.
Povezave do uporabljenih virov:
Microsoftov članek o knjižnici filtrov gesel po meri:
PassFiltEx:
Povezava do objave:
Seznami gesel:
DanielMiessler navaja:
Seznam besed iz weakpass.com:
Seznam besed iz repoja berzerk0:
Microsoftov analizator sporočil:
Vir: www.habr.com